紧急求助：朋友公司电脑中了 cryptowall 2.0 病毒，所有电子文件被加密。嫌犯要求 24 小时内支付 750 刀，否则加倍，到达一定时限就“撕票” ……第一个时限是 14 号（周五）下午 3 点半……… 希望有高人出手！感恩！

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 3661 天前的主题，其中的信息可能已经有所发展或是发生改变。

第 1 条附言 · 2014-11-14 21:25:30 +08:00

最新进展：那个勒索网页上写的期限是20/11/14-15:28，本来以为是11月14日，后来才反应过来是11月20日（日/月/年）~所以说还有5天多的时间可以努力~

第 2 条附言 · 2014-11-14 21:26:22 +08:00

那封邮件下周一上班了我让她转发给我~

第 3 条附言 · 2014-11-17 18:37:07 +08:00

有人想看邮件，那就看吧……最搞笑的就是 Symantec……哈哈哈哈哈哈哈

第 4 条附言 · 2014-11-20 18:29:12 +08:00

今天是最后时限，朋友已付款。
查了一下，对方从10月19号到今天已经收了3笔，然后转出了3笔，金额分别是2+1.85389733+2.03 BTC（页面上显示的对应美金分别是779.1+736.81+739.73=2255.64），合人民币13802.26……算下来也不多嘛 =,=

第 5 条附言 · 10 天前

十年了，不胜唏嘘啊……

时限

cryptowall

加密

164 条回复 • 2014-11-20 18:30:13 +08:00

1 2

❮

❯

101

gqfBzoLVY3Wl4Tng

2014-11-14 14:11:20 +08:00

@XuanYuan twitter喇

102

ANT1FLAG

2014-11-14 14:12:57 +08:00

人肉他打他一顿好了。这个方案最偏题了。

103

xuwenmang

2014-11-14 14:19:19 +08:00

@BlueFly [你真特么搞笑],这句话你应该回家对你父母说！

104

cvrock

2014-11-14 14:22:44 +08:00

尝试数据恢复，毕竟是加密后删除了文件，如果删除手法不够老道，是可以恢复的。
如果无法恢复，报警以保留证据，然后给打钱，解密就别想了，除非对方只是想逗你玩。

105

BlueFly

2014-11-14 14:53:58 +08:00

@xuwenmang 在这问题上居然能说到备案还只是智商的问题，无论怎么样的争议，都是你跟我之间的事，但是你居然又拉上讨论者父母，那就人品的问题，连起码人品都没有，垃圾！拉黑

106

kiritoalex

2014-11-14 14:59:46 +08:00 via Android

@PP +1，正式如此

107

icedx

2014-11-14 15:00:17 +08:00 via Android

求曝光网站地址

108

kiritoalex

2014-11-14 15:04:17 +08:00 via Android

@jason52 现在EQ，TF已经淡出了，主要是连win7都不兼容，所以差不多折腾ESS的hips.和comodo.当然Mcafee VSE也可编写规则，不过只能覆盖FD.RD.mcafee HIP可以覆盖到ND

109

kiritoalex

2014-11-14 15:07:34 +08:00 via Android

@BlueFly 还真不知道idm有此妙用，其实主要是因为idm要加驱，所以无论什么软件几乎都可以分析出下载地址😁:)

110

brando

2014-11-14 15:13:37 +08:00

重现the good wife情景。

111

wezzard

2014-11-14 15:15:49 +08:00

不知道處理得如何了，都三點一刻了

112

mailunion

2014-11-14 15:23:08 +08:00

还有 7 分钟，感觉宇宙要爆炸了。

113

k2wen

2014-11-14 15:28:17 +08:00

还有2分钟怎么办

114

k2wen

2014-11-14 15:28:32 +08:00

还有2分钟怎么办？！

115

x86

2014-11-14 15:29:11 +08:00

等结果

116

zdkmygod

2014-11-14 15:30:37 +08:00

到点了，坐等结果

117

alex321

2014-11-14 15:31:17 +08:00

现在 15:30 啦。

118

xuwenmang

2014-11-14 15:33:01 +08:00

@BlueFly

你：你真特么搞笑
我：[你真特么搞笑],这句话你应该回家对你父母说！
你：你居然又拉上讨论者父母，那就人品的问题，连起码人品都没有，垃圾！拉黑

你真特么的搞笑，你的真特么的是什么意思？难道我误会了？你的真特么的不是说你父母？

119

BlueFly

2014-11-14 15:40:31 +08:00

@kiritoalex 是的，IDM是驱动层拦截。包括一些软件的自动更新也能拦截下来。当然任何下载请求都拦截都要确认也是挺烦人，这就要在安全和方便取舍了，并且也只是拦截，分析还得自己来，都确定都放行等于没有

120

wzxjohn

2014-11-14 15:47:42 +08:00 via iPhone

@BlueFly 烦归烦，我觉得挺好～话说SSM似乎跟Win8之类不太兼容了？好久没用过了。。。现在只在虚拟机里装了。。。

121

wzxjohn

2014-11-14 15:48:08 +08:00 via iPhone

到点了，问问后续？

122

BlueFly

2014-11-14 15:50:35 +08:00

@kiritoalex 以前XP时代，老毛子的SSM非常好用，光免费版功能足够强大。后来也用过其他，反而都找不到感觉。家用一直都不装杀软，公司机子（非IT企业）倒是都装个mcafee virusscan 企业版，当然只是D的 -__-

123

BlueFly

2014-11-14 16:00:10 +08:00

@wzxjohn SSM已经是老皇历，XP时代的事了，早就不更新了，N年前就已经停止开发，查了下，只支持到vista，更不要说7、8了。不过认真说句，俄毛子技术的确牛B，话说当年功能非常的亮眼，后台运行什么，想加载什么，通通知道，那些捆绑软件通通显形。好多东西都是由它开启的，后来才涌现其他HIPS软件

124

P013onEr

2014-11-14 16:07:04 +08:00

Boom~!

125

wzxjohn

2014-11-14 16:14:44 +08:00 via iPhone

@BlueFly 我就说最近找不到能用的了。。。唉。。。果然安全圈子更新挺快。。。现在有啥好用的推荐么？免费付费都可以。

126

Phariel

2014-11-14 16:14:52 +08:00

楼主，快更啊，到点了啊！

127

BlueFly

2014-11-14 16:23:43 +08:00

@wzxjohn 现在不敢说，毕竟好久没用过，查了下，好多都停更了。果然comodo最耐操，不过我对它印象一般。你可以看下这帖子，http://bbs.kafan.cn/thread-1779788-1-1.html

128

foxni

2014-11-14 16:26:07 +08:00

楼主，求结果啊~

129

BlueFly

2014-11-14 16:30:14 +08:00

@kiritoalex TF残念啊，用过一段时间，感觉还行。pctools可是DOS时代就牛B的软件，被大公司收购就轮为玩具、弃儿。我可是持有 pctools.cn ，就等赛门铁克收购…… (︶︹︺)

130

yuankui

2014-11-14 17:17:20 +08:00

用mac没事了呗..

131

homever

2014-11-14 17:19:59 +08:00

。。。。看楼上几个都要等哭了

132

crab

2014-11-14 17:44:41 +08:00

@wzxjohn 那会刚出主动防御也是用SSM，现在64位驱动不能随便加载基本是没啥事情。

133

kiritoalex

2014-11-14 18:30:29 +08:00

@BlueFly TF卡出翔，所以放弃了，我估计他本来的驱动就有些问题

134

BlueFly

2014-11-14 18:58:17 +08:00

@kiritoalex 没有吧，我倒是觉得TF略简单。

135

blacktulip

2014-11-14 19:00:18 +08:00

我建议楼主说说是怎么中招的，也好让大家有个防范。

136

geew

2014-11-14 19:00:19 +08:00

忘了从什么时候开始一直裸奔倒也是没碰到病毒神马的不过这个作者也真是变态

137

XuanYuan

2014-11-14 19:16:43 +08:00

哈哈，要不是朋友提醒还不知道这么多人等着知道结果……让我先保密一会儿。

btw，我其实是香港 version-2 大陆子公司第一批员工，早年混 kafan 的朋友应该知道这家公司是做什么的……

138

blacktulip

2014-11-14 19:20:39 +08:00

@XuanYuan 还有心情保密，看来问题是解决了

139

wsph123

2014-11-14 19:20:41 +08:00

@XuanYuan 卧槽已经快成段子了！！！快别卖关子惹OAAQ

140

andybest

2014-11-14 19:21:08 +08:00

@XuanYuan 速度写个详细结果报告！！！

141

azuginnen

2014-11-14 19:24:37 +08:00 via Android

赶紧报告！！！！！

142

x86

2014-11-14 19:32:55 +08:00 via iPhone

卧槽还保密，速度更新呀

143

xifangczy

2014-11-14 20:03:00 +08:00

@BlueFly 哈哈我以前用mcafee企业版分析病毒，mcafee的日志很详细。

144

zhouquanbest

2014-11-14 20:05:33 +08:00

这玩意现在Android上也有
写起来也容易然后伪装下叫个什么xxx免费版破解版一堆人下

PS：
LZ快更啊

145

Keinez

2014-11-14 20:06:43 +08:00

@XuanYuan ESET？

146

lyragosa

2014-11-14 20:08:12 +08:00

坐等后续，强迫症急死了

147

sanddudu

2014-11-14 20:13:53 +08:00

@XuanYuan 是个软件代理商
看了下，目前有代理 ESET。
搜了下以前的，还有代理过 Outpost？

148

ljc

2014-11-14 20:33:27 +08:00

ransomware

149

won

2014-11-14 20:49:34 +08:00

@XuanYuan 借公司的车，但不是执行公务，如果再加上非工作时间，就肯定是个人全责了
@Elix 笔记本如果是在路上，不属于工作环境下使用，肯定是个人全责，而且笔记本意外险也不会赔。意外险理赔的前提是，公安局或其他权威机构出具判决书

150

XuanYuan

2014-11-14 21:31:02 +08:00 via iPhone

已经更新啦！周一继续。

那封病毒邮件我周一提供，想中毒的朋友莫要着急哈！

151

azuginnen

2014-11-14 21:32:53 +08:00 via Android

我去，楼主太坑爹了啦。打钱没

152

kmvan

2014-11-14 21:33:24 +08:00

这好流氓，要是我是公司老板，丢数据也不给你钱，怎么着？

153

XuanYuan

2014-11-14 21:37:36 +08:00 via iPhone

@kmvan 你要是老板肯定不会这么说←_←

154

jings

2014-11-14 22:25:46 +08:00

好吧一开始以为是钓鱼贴没想到还。。。

155

cchange

2014-11-14 22:27:35 +08:00

我还发过一个这个介绍这个病毒的帖子，只是看了介绍就觉得恐怖当时就装了杀毒软件了

据说FBI联合好几个捣毁了一个，把CC服务器给端了： http://www.freebuf.com/news/35848.html 僵尸病毒网络Gameover Zeus被捣毁

但是恐怖的是这个软件编写的逻辑太智能了，不仅走Tor，就连不走Tor也是用算法生成的域名去连接。

http://www.v2ex.com/t/98049 其内部的链接会指向一些介绍

156

wadezhao

2014-11-14 22:28:27 +08:00

还努力啥，老实打钱吧………………

退一万步说，就算真有解决方案，人家也不会免费帮你这个忙啊………………

157

chenshaoju

2014-11-15 00:57:31 +08:00

@cchange 刚看了一下，“会尝试删除卷影拷贝”，如果是Win7+UAC保护的情况下，理论上很难已删除。对于系统还原和卷阴影的操作都需要管理员权限。

158

2014-11-15 06:19:03 +08:00 via iPad

那封邮件可以打印存证，但不可以转发。目前事件如何处理未有眉目，贵友与其公司冲突仍在，未经公司授权转发此邮件，岂非授人以柄。

159

hx1997

2014-11-15 10:26:34 +08:00

@chenshaoju 但是大多数人的 UAC 都是默认级别，只要利用 UAC 白名单就能轻松过。更别提可能还存在一些地下黑魔法可以过 UAC 了，UAC 不是安全边界，被过了微软也不管。

160

chenshaoju

2014-11-15 15:14:48 +08:00

@hx1997 我的是密码级的UAC，就算登录后，任何触发UAC的请求都会要求二次验证密码。有点类似于sudu。

161

hx1997

2014-11-15 15:22:55 +08:00 via Android

@chenshaoju 只要是默认级别（系统程序不提示）就没用。所以我开的最高级和要求密码验证。

162

raptor

2014-11-16 15:55:05 +08:00

所以说，用ZFS每天对文件系统作快照备份才是王道

163

XuanYuan

2014-11-17 18:38:01 +08:00

邮件来了，嗯。
想要链接的人，我才不给你们呢……那就成投毒了。 ^^

164

XuanYuan

2014-11-20 18:30:13 +08:00

顶楼已更新进度！

1 2

❮

❯